我們知道公司面臨網絡安全風險，實際上董事會也知道。他們清楚網絡安全是個商業問題，也知道自己應該關注這一問題對業務意味著什么。但是，董事會往往對自己可以做點什么沒有一個具體的概念。

[[158081]]

一個不錯的建議就是，將某安全事件，如數據泄露與董事會熟悉事情聯系起來，然后再落到重要的安全控制上去。

這一方法能使你的董事會對情況多些了解，也能增加你安全策略的可信度。以下是使用這一方法的3個例子：

1. 網絡劃分、身份驗證以及訪問控制

內線消息：第三方廠商的安全憑證被盜，且被用作突破某大型全球零售商網絡的軸心點。攻擊者利用這一最初的數據泄露獲取到了該零售商銷售終端生態系統的訪問權。這個案例中，第三方廠商僅僅需要對該網絡非常有限的訪問權即可，他們完全沒必要訪問那關鍵的POS系統。

為什么這很重要：公司運營中最關鍵的一條，就是要確保每個人都能做需要他們做的所有事情。保證他們能獲取他們需要的所有東西但決不更多，是有效安全運營的關鍵。

你的董事會應該考慮的：清楚最小權限原則是公司運營有效且安全的基本原則。這一安全控制是每家公司企業都應該實現的安全基礎。

2. 安全意識訓練

內線消息：一個網絡釣魚騙局瞄準了一家年增數百萬設備銷售量的國際大牌消費設備公司。該網絡釣魚騙局可用于為網絡罪犯投遞攻擊載荷。《威瑞森2015數據泄露調查報告》顯示：23%的用戶打開網絡釣魚郵件，11%會點擊釣魚鏈接——意味著每10封網絡釣魚郵件進入公司，就有90%的可能性至少有1名員工點擊了惡意鏈接。

為什么這很重要：由于網絡釣魚騙局越來越普遍和精心設計，員工安全訓練變得十分重要。安全技能訓練幫助用戶明白怎樣將安全目標化為實踐。

你的董事會應該考慮的：策略、規程和訓練是公司深度防御戰略的關鍵部分。要保證公司具有書面的安全策略和規程有助于引導員工的行為。此外，訓練員工遵循這些實踐有助于減少公司的安全風險。

3. 檢測惡意攻擊

內線消息：一家主流社交媒體廠商不得不面對公眾數據泄露的指控。但最初看起來像是數據泄露的事件，其實只是引入到他們系統中的一個技術性改變引發的內部錯誤。現在每天都有成百上千的惡意軟件攻擊發生，很多公司都可能成為分布式拒絕服務(DDoS)攻擊的受害者，這種攻擊的目的就是要讓你的目標用戶連不上你的資源。

為什么這很重要：防護、檢測和響應的原則就應用在這里了。有能力保護你的邊界是非常重要的第一步。

接下來，能夠檢測出系統中的改變對于制定合適的響應計劃非常關鍵。系統的基線配置，也就是所謂的“黃金鏡像”，將幫助你的公司區分開“正常運營”的改變和惡意改變。

你的董事會應該考慮的：利用業務單位負責人識別出關鍵數據和資產是關鍵一步。只要做到這一點，與安全和IT團隊協作就能為這些資產定義出安全配置以確保公司能發現安全事件并做出響應，盡快恢復到實際工作中。

利用高曝光率的數據泄露事件來夯實常見安全風險的例子能給你的董事會提供很好的直觀教學課。這一方法能幫助他們理解自身可以怎樣幫助改進公司的安全態勢。這一策略也是培養他們對公司安全態勢的支持，以及幫助鑒別適合你公司大小、產業和風險偏好的安全控制的絕佳方式。

原文地址：http://www.aqniu.com/neo-points/12157.html